1、网络拓扑
在思科路由器与orb305之间建立一个安全隧道,对客户路由器端设备子网,与思科路由器端服务器子网之间的数据流进行安全保护,组网拓扑图如图所示。
2、思科路由器端配置指导
(此处以多数客户使用专线上网形式为例)
cisco(ar1)配置配置1.aaa配置aaa new-model//启用aaa
aaa authentication ppp default local//定义默认的认证列表default,其对ppp认证为本地认证
2.vpdn配置vpdn enable//启用vpdn
vpdn-group 1//新建一个vpdn组
accept-dialin//接收拨号进来的链接
protocol l2tp//定义协议为l2tp,可选的还有pptp
virtual-template 1//使用虚模板接口1
no l2tp tunnel authentication//注意我们是基于access模式的vpdn,所以不需要对隧道进行认证,也就是说每一个用户都是一个lac
username test1 password 0 123456//定义一个本地用户
3.ipsec配置crypto isakmp policy 10//定义isakmp策略,注意路由器会按序号匹配策略所定义的参数,先匹配的先采用,如果一个都没有匹配到,则ipsec{banned}中国第一阶段协商失败
encr 3des//加密方式
hash md5//哈希算法
authentication pre-share//验证方式预共享密钥
group 2//使用dh组2来协商{banned}中国第一阶段
sa crypto isakmp key 1234 address 0.0.0.0 0.0.0.0//这里定义预共享密钥,所有地址都使用这个密钥,路由器会寻找一个地址{banned}最佳匹配的预共享密钥,如果还有更精确的地址匹配,则采用其定义的预共享密钥
crypto ipsec transform-set myset esp-3des esp-md5-hmac//这里定义变换集,ipsec阶段2将使用其定义的参数,创建sa
mode transport//定义模式为传输模式
crypto dynamic-map mydynamic 10//定义动态映射表mydynamic
set transform-set myset//此映射图引用了前面定义的转换集
crypto map mymap 10 ipsec-isakmp dynamic mydynamic//定义映射表mymap
4.配置接口地址:
interface gigabitethernet0/1
ip address 113.208.113.38 255.255.255.248 crypto map mymap//在接口上应用此映射图
5.virtual-template配置:interface virtual-template1 ip unnumbered gigabitethernet0/1//借用物理接口
peer default ip address pool mypool/指定客户端地址池为dhcp地址池
ppp authentication pap chap ms-chap ms-chap-v2//配置验证方式
ip local pool mypool 192.168.10.2 192.168.10.5//定义地址池
6.配置内网接口:
interface gigabitethernet0/0
ip address 192.168.10.1 255.255.255.0 ip nat inside
7.配置nat:access-list 11 permit 192.168.10.0 0.0.0.255
//配置匹配流ip nat inside source list 11 interface gigabitethernet0/1 overload
3、orb305路由器端配置指导
将sim卡插入路由器卡槽
给设备上电,登入路由器web页面(默认为192.168.2.1)
进入网络→接口→连链路备份界面启用对应sim卡并上调链路优先级,保存配置
对应sim卡拨号成功,当前链路变为绿色
进入网络→vpn→ipsec界面进行路由器(ipsec vpn客户端)配置保存并应用,进入状
态→vpn页面看到ipsec vpn状态为已连接
点击“网络-vpn-l2tp”勾选“启用”;远端地址填写思科路由器的公网ip地址;用户名密码填写在思科路由器default中添加的用户名及密码;认证类型选择“chap”;远端子网填思科路由器下设备的子网地址及掩码。保存并应用。
等待5分钟,在“状态-vpn”查看vpn连接状态。